网络安全NetworkSecurity是指网络系统的软硬件包括数据受到保护,恶意的或者偶然原因不会使系统遭受到破坏、更改、泄露,系统可以持续可靠正常地运行,应用与服务不中断。运营管理者和服务商不期望出现“棱镜门”、病毒、拒绝服务、非法存取、非法控制、非法占用和黑客攻击。当今世界信息技术迅猛发展,2007年3季度,云计算的横空出世预示着大数据时代的到来。所谓云计算,是指通过使用网络按需分配访问和使用池化的可配置的计算、存储、交互、网络、服务和应用等IT资源的模式,这些资源可以方便地获得、部署和释放。随着信息爆炸、互联网及其应用的高速发展引发了人们对大规模数据进行快速处理的需求----大数据,大数据归结起来有4V特点:大量、高速、多样、真实性(Volume、Velocity、Variety、Veracity)。使用云计算技术和大数据服务与应用的系统,它的安全与性能和功能是一对矛盾体:企业的系统不开放、不服务则不会产生来自外部的威胁;系统一旦接入互联网,则必将融入开放系统互联OSI模型,安全问题由此产生。因而网络运行,安全先行。云计算的按需服务、宽带接入、弹性服务、可测量的服务、虚拟化资源池和多租户等特点,直接影响到了云计算安全保护策略的制定与优化。
由于众多用户共享IT基础架构,安全因素不可小觑,一方面要保护云计算本身的安全性,另一方面,云端服务商把安全作为服务提供给用户。云安全问题还体现在云计算基于TCP/IP协议,网络自身不安全,其核心技术,包括虚拟化、分布式计算,也存在先天不足。虚拟化技术是云计算的基本,云计算的流行使人们对虚拟化产生了越来越广泛的关注。虚拟化技术的快速发展主要得益于硬件计算能力的提升,同时制造、运营成本的降低,它通常指服务器硬件资源(CPU、内存、硬盘、网卡等)被虚拟化。虚拟化技术能够实现在一台物理机上输出多台虚拟机,提高硬件服务器的利用率,以降低运营成本。在每台虚拟机中可以运行不同的操作系统,启用不同的服务和应用,同时虚拟机之间的隔离性又非常好。这些特性都是硬件之上的虚拟机监控器(VirtualMarineMonitor,VMM)软件层来实现的。提髙系统的健壮性常用的方式是搜索和监控客户虚拟机内核内存,从而获取所需关键值。根据CPU负载自调整监控频率的方法,减少了不必要的性能开销,提髙了检测率。但是,为了满足服务器虚拟化的要求通常要改变网络架构。同时,虚拟化计算环境与传统的IT环境截然不同,这两者都为虚拟化系统带来了与传统相左的安全风险。除自身的原因,程序的实现手段和水平不同(如Map()/Reduce()类的自行实现,有些通过C/C++实现的程序容易导致缓冲溢出攻击等),引起安全漏洞。作为底层支持的操作系统在内存保护、数据隔离、权限管理、身份认证、防木马病毒攻击等方面本身存在缺陷,通过补丁无法根除,难以形成完整的安全体系。这些因素都影响了系统的稳定性、不可控性和风险性。基于虚拟化云计算引入的风险集中在两方面,引入的虚拟化软件的安全和引入的虚拟服务器的安全,则安全性研究的方向主要体现在:一、虚拟化软件安全:软件层直接部署于裸机之上,实现虚拟化可采取操作系统级虚拟化、半虚拟化或全虚拟化。在IaaS系统中,云主机上的客户不必访问该软件层,它完全由云端服务提供商来提供必要的服务。另外,由于虚拟化软件层了保证客户的相互隔离,故必须严格禁止任何未授权非法用户访问虚拟化软件层。云服务提供商应的另一个安全控制措施是限制对于Hypervisor与其他形式的虚拟层的物理与逻辑访问。完整性和可用性是基于虚拟化技术构建的公有云最关键、最重要因素。二、虚拟服务器安全:虚拟服务器位于虚拟化软件之上,应选取具备TPM安全模块的物理服务器,因为TPM安全模块工作的原理是:在虚拟服务器启动时校验用户密码,如果发现密码PASSWORD及用户名USERNAME的Hash序列不对,则立即禁用此虚拟服务器。安装虚拟服务器时,应推荐使用多核处理器,还应采用独立硬盘分区,这样各虚拟服务器从物理与逻辑上便隔离开来。虚拟服务系统必须安装防火墙、查杀软件、日志记录、IPS(IDS)以及备份恢复软件,与其他物理与逻辑的安全防范措施一起构成多道防范体系。还应对虚拟服务器规划不同的VLAN和IP网段逻辑隔离,虚拟服务器之间通信通过VPN的方式来实现,这样网络传输才得以安全。备份工作也是必不可少的,虚拟机文件、配置源文件及其重要数据都要进行备份。对于企业级服务器的安全体系,涵盖访问控制、检查安全漏洞、攻击监控、加密通讯、认证、备份和恢复、多层防御、隐藏内部消息、设立安全监控中心。
无论企业采用哪种系统,操作系统UNIX/LINUX、WINNTSERVER还是SQLSERVER,其主要行为依然是:一、网络优化,优化网络拓扑,针对业务系统每个中心的网络边界,实施访问控制,防止外部病毒引入业务系统内部。利用优化的网络拓扑与合理的架构将网络威胁拒之门外。建立合理的预防策略防止网站服务遭受恶意攻击,提前进行干预,打击所有基于TCP/IP协议的DDOS恶意攻击。修改网站服务器密码,防止网站挂链接删除后出现恢复。二、主机加固,主要是通过对各操作系统本身模块和服务组件的增加、删除、修改,找到操作系统自身缺陷和安全漏洞并消除隐患,实现操作系统和业务安全稳定运行。企业级服务器同样要做好数据资料的备份工作,保护账户名和登录密码,关闭不用的端口和协议,删除不必要的账户或临时账户,关闭系统默认共享。三、安全监测,打补丁,对漏洞进行有效地修补,防止遭受木马程序和计算机病毒攻击,安装最新版PatchPack。杜绝软件或库文件过期导致系统在无任何安全保障下裸跑。采用防火墙、杀毒软件,有效地控制计算机病毒的侵入,在使用杀毒软件的过程中,需要对杀毒软件进行定期地升级操作,从而为网站服务器营造一个良好的运行环境,保障服务器长期安全、稳定地工作。做好系统日志的检测和监督管理工作,利用服务器系统软件或第三方安全软件对系统做全方位的监测。对于云终端或者个人电脑,首先应养成良好的使用习惯,依照规范安全操控电脑。常见的安全威胁有病毒,如熊猫烧香,由于其可以感染系统可执行文件和备份文件,破坏力极大;灰鸽子,臭名昭著的病毒体,其产生、传播的背后是一条巨大的产业链。另外,各类木马、间谍软件、广告软件、流氓软件、网络钓鱼网站、浏览器劫持、恶意软件其威胁性也不可小视。所以个人电脑应经常做数据备份,防止资料丢失;经常使用安全软件对机器进行扫描、查杀、优化,保持电脑工作的稳定性。对账号做有效管理,及时删除非常用账号和临时账号,设置账号权限,及时更新系统,修改不安全的默认设置。当今社会无论运营商、服务商、企业级用户还是个人使用者,无不是网络环境中的一环,来自网络的威胁贯穿始终。近些年,国内外网络上发生的威胁事件越来越严重、频率越来越快。近几年重庆、贵州、广西、广东等14省出现了不法分子入侵移动网运营商WAP网关主机,进行恶意业务定购的安全事件。造成用户财产损失,同时运营商产生了大量用户投诉,严重影响了公司的正常生产。2013年最为重大的网络攻击事件是一天内攻击30个政府网站的哥伦比亚独立日攻击、长达一年多的OperationAbabil攻击、峰值309Gbps的Spamhaus攻击和SEA对纽约时报的鱼叉钓鱼攻击。鲜活的实例告诉我们,面对迅猛发展的信息技术和庞杂的网络环境,安全最重,我们一定要提高警惕,求索前行的路途任重而道远。
作者:周鹏 单位:中国联合网络通信有限公司天津市分公司设备维护中心